![[Amazon FSx for NetApp ONTAP] 事前学習不要なランサムウェア検出機能であるAutonomous Ransomware Protection with AI (ARP/AI) を使ってみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-9e9d102dfa6d7896319b16fe069cdf55/c3bbbeab42ba5764c5a573e979719805/amazon-fsx-for-netapp-ontap?w=3840&fm=webp)
[Amazon FSx for NetApp ONTAP] 事前学習不要なランサムウェア検出機能であるAutonomous Ransomware Protection with AI (ARP/AI) を使ってみた
ランサムウェア対策の最後の砦として
2026.03.31
ランサムウェア対策をお手軽に行いたい
こんにちは、のんピ(@non____97)です。
皆さんはファイルサーバーを運用していて、ランサムウェア対策をお手軽に行いたいなと思ったことはありますか? 私はあります。
以前、Amazon FSx for NetApp ONTAP(以降FSxN)のAutonomous Ransomware Protection(ARP)を紹介しました。
こちらを用いることによって、ファイルシステムの異常なアクティビティを検出し、その時点のSnapshotを取得することが可能です。
ただし、こちらの機能を使用するにあたっては学習期間を設ける必要がありました。
ワークロードに合わせて検出できるようになるとはいえ、中々手間ではあります。
学習期間の手間を削減したのが、ARP/AIです。
ARP/AIはNetAppの事前学習済みのAIモデルを利用しており、学習期間を設けることなく、すぐに利用することが可能です。
ARP/AIはSE Labsによるレポートで最高評価であるAAAを獲得と、かなり評価されているようです。
この機能はONTAP 9.16.1から使用できるのですが、まだ触ったことなかったので触ってみます。
ARPが新しいAI機能によってアップグレードされ、ランサムウェア攻撃を99%の精度と再現率で検出して対応できるようになりました。AIは包括的なデータセットでトレーニングされているため、FlexVolでARPを実行するのに必要な学習期間がなくなり、ARP / AIはすぐにアクティブ モードで開始されます。またARP / AIには自動更新機能もあり、最新の脅威に対する継続的な保護と耐障害性が確保されます。
やってみた
実際に試してみます。
NFSクライアントからFSxNのボリュームをマウントします。
$ sudo mkdir -p /mnt/fsxn/vol1
$ sudo mount -t nfs svm-0391631db3412d33e.fs-01afbfc61d098d8f9.fsx.us-east-1.amazonaws.com:/vol1 /mnt/fsxn/vol1
$ df -hT -t nfs4
Filesystem Type Size Used Avail Use% Mounted on
svm-0391631db3412d33e.fs-01afbfc61d098d8f9.fsx.us-east-1.amazonaws.com:/vol1 nfs4 973G 114G 860G 12% /mnt/fsxn/vol1
FSxNファイルシステムにSSHし、現在のARPの状態を確認しておきます。
::> version
NetApp Release 9.17.1P4: Thu Jan 15 22:33:51 UTC 2026
::> security anti-ransomware volume ?
attack> Anti-ransomware Volume Suspected Attack Related Details/operations
attack-detection-parameters> Manage attack detection parameters of anti-ransomware enabled volume
auto-switch-to-enable-mode> The auto-switch-to-enable-mode directory
disable Disable anti-ransomware on a volume
dry-run Dry-run anti-ransomware on a volume
enable Enable anti-ransomware on a volume
entropy-stat> Manage Anti-Ransomware Volume Entropy Stats
event-log> The event-log directory
pause Pause anti-ransomware on a volume
resume Resume anti-ransomware on a volume
show Show anti-ransomware related information of volumes
space> Manage space usage of anti-ransomware enabled volume
workload-behavior> Manage anti-ransomware operations on the volume
::>
::> security anti-ransomware volume show
Vserver Volume State Dry Run Start Time
---------- ---------------- ---------------- ------------------
svm vol1 disabled -
::> vserver show -vserver svm -fields anti-ransomware-default-volume-state
vserver anti-ransomware-default-volume-state
------- ------------------------------------
svm disabled
ARPは無効ですね。
有効化します。
::> security anti-ransomware volume dry-run -vserver svm -volume vol1
::> security anti-ransomware volume show
Vserver Volume State Dry Run Start Time
---------- ---------------- ---------------- ------------------
svm vol1 enabled -
::> security anti-ransomware volume show -instance
Vserver Name: svm
Volume Name: vol1
State: enabled
Dry Run Start Time: -
Attack Probability: none
Attack Timeline: -
Number of Attacks: -
Attack Detected By: -
Block Device Detection Status: -
Block Device Evaluation Start-time: -
::> security anti-ransomware volume attack-detection-parameters show -vserver svm -volume vol1
Vserver Name : svm
Volume Name : vol1
Block Device Auto Learned Encryption Threshold : 0
Is Detection Based on High Entropy Data Rate? : true
Is Detection Based on Never Seen before File Extension? : true
Is Detection Based on File Create Rate? : true
Is Detection Based on File Rename Rate? : true
Is Detection Based on File Delete Rate? : true
Is Detection Relaxing Popular File Extensions? : true
High Entropy Data Surge Notify Percentage : 100
File Create Rate Surge Notify Percentage : 100
File Rename Rate Surge Notify Percentage : 100
File Delete Rate Surge Notify Percentage : 100
Never Seen before File Extensions Count Notify Threshold : 5
Never Seen before File Extensions Duration in Hour : 48
::> security anti-ransomware volume workload-behavior show -vserver svm -volume vol1
Vserver: svm
Volume: vol1
File Extensions Observed: -
Number of File Extensions Observed: -
Historical Statistics
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Surge Observed
Surge Timeline: -
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Newly Observed File Extensions: -
Number of Newly Observed File Extensions: -
::>
dry-runとしましたが、すぐにアクティブモードになりました。
従来のように学習期間を設けて個別のワークロードに合わせて検知をさせるということはできなくなっていますね。
この挙動はNetApp KBにも記載がありました。
No.
ARP自体の注意点は先述の記事に記載しているので、そちらをご覧ください。
それでは、ランダムな文字列、ランダムな拡張子の16MBのファイルを1,000個作成します。
参考までに、NetApp KBには以下のようにテストで検出するための方法が紹介されています。
This is a simple test relying on never seen before file extensions
- Create an archive with some files inside
- Change the extension to contain numbers + letters e.g.: test.zzz123
- Create at least 5 copies of the archive using the same extension, similar to test.zzz123; test2.zzz123; test3.zzz123; .....
- Reduced the "Never Seen before File Extensions Count Notify Threshold" to 5
- Copy or move the files to the test volume (using the share or mount) where you want to test ARP
- Give the system up to 10 minutes to generate a warning.
How to test ARP is active and working - NetApp Knowledge Base
$ for i in $(seq 1 1000); do
EXT=$(cat /dev/urandom | tr -dc 'a-z0-9' | head -c 6)
sudo dd if=/dev/urandom of="/mnt/fsxn/vol1/file_${i}.${EXT}" bs=1M count=16
done
16+0 records in
16+0 records out
16777216 bytes (17 MB, 16 MiB) copied, 0.10994 s, 153 MB/s
16+0 records in
16+0 records out
16777216 bytes (17 MB, 16 MiB) copied, 0.0803059 s, 209 MB/s
.
.
(中略)
.
.
$ df -hT -t nfs4Filesystem Type Size Used Avail Use% Mounted on
svm-0391631db3412d33e.fs-01afbfc61d098d8f9.fsx.us-east-1.amazonaws.com:/vol1 nfs4 973G 129G 844G 14% /mnt/fsxn/vol1
$ ls -l /mnt/fsxn/vol1/ | head
total 16456000
-rw-r--r--. 1 root root 16777216 Mar 31 08:14 file_1.la9w7b
-rw-r--r--. 1 root root 16777216 Mar 31 08:14 file_10.1dkyik
-rw-r--r--. 1 root root 16777216 Mar 31 08:14 file_100.f7gdie
-rw-r--r--. 1 root root 16777216 Mar 31 08:17 file_1000.3yyk12
-rw-r--r--. 1 root root 16777216 Mar 31 08:14 file_101.9htscr
-rw-r--r--. 1 root root 16777216 Mar 31 08:14 file_102.9r7aau
-rw-r--r--. 1 root root 16777216 Mar 31 08:14 file_103.xsx0r8
-rw-r--r--. 1 root root 16777216 Mar 31 08:14 file_104.hkmv8n
-rw-r--r--. 1 root root 16777216 Mar 31 08:14 file_105.rgtor5
ファイル作成完了後、ARPの状態を確認します。
::*> date show
(cluster date show)
Node Date Time zone
--------- ------------------------- -------------------------
FsxId01afbfc61d098d8f9-01
3/31/2026 08:20:24 +00:00 Etc/UTC
FsxId01afbfc61d098d8f9-02
3/31/2026 08:20:24 +00:00 Etc/UTC
2 entries were displayed.
::*> security anti-ransomware volume show -instance
Vserver Name: svm
Volume Name: vol1
State: enabled
Dry Run Start Time: -
Attack Probability: none
Attack Timeline: -
Number of Attacks: -
Attack Detected By: -
Block Device Detection Status: -
Block Device Evaluation Start-time: -
::*> security anti-ransomware volume workload-behavior show -vserver svm -volume vol1
Vserver: svm
Volume: vol1
File Extensions Observed: -
Number of File Extensions Observed: -
Historical Statistics
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Surge Observed
Surge Timeline: -
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Newly Observed File Extensions: -
Number of Newly Observed File Extensions: -
::*> snapshot show -volume vol1 -fields create-time, snapmirror-label, snaplock-expiry-time
vserver volume snapshot create-time snapmirror-label snaplock-expiry-time
------- ------ ----------------------------------------------- ------------------------ --------------------------- --------------------
svm vol1 Anti_ransomware_periodic_backup.2026-03-31_0806 Tue Mar 31 08:06:20 2026 anti-ransomware-main-backup -
moderateにはなっていないですが、Snapshotが取得されていますね。
さらに10分弱待ってみます。
::*> date show
(cluster date show)
Node Date Time zone
--------- ------------------------- -------------------------
FsxId01afbfc61d098d8f9-01
3/31/2026 08:28:52 +00:00 Etc/UTC
FsxId01afbfc61d098d8f9-02
3/31/2026 08:28:52 +00:00 Etc/UTC
2 entries were displayed.
::*> security anti-ransomware volume show -instance
Vserver Name: svm
Volume Name: vol1
State: enabled
Dry Run Start Time: -
Attack Probability: none
Attack Timeline: -
Number of Attacks: -
Attack Detected By: -
Block Device Detection Status: -
Block Device Evaluation Start-time: -
::*> security anti-ransomware volume workload-behavior show -vserver svm -volume vol1
Vserver: svm
Volume: vol1
File Extensions Observed: la9w7b, 0yelue, 439s6p,
65rsbk, m53m3f, fuw76q,
hxgak2, s2zyn9, 1dkyik,
yfmxqu, 85cg6u, 7vrfw4,
32ztmo, qq2fdb, qaw72c,
dic56o, 9peppc, hm0j0k,
pwa184, p6gu7d, aw985b,
cugl4z, 52aw2m, jryqle,
lx0vgw, 6mj8l1, k8xukb,
dx84ex, o0frfq, 7550zm,
29m9qr, m9qhl0, ddrljh,
9ckqgg, qxprwy, 2gggor,
kdtysz, eiohez, lajz38,
kfcxu6, 8w6scn, o4vt4q,
qz15wn, qbmj3q, f2yjtp,
ht8bdr, ido41b, 2lum80,
siy7sc, niilhm
Number of File Extensions Observed: 1000
Historical Statistics
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Surge Observed
Surge Timeline: -
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Newly Observed File Extensions: la9w7b, 0yelue, 439s6p,
65rsbk, m53m3f, fuw76q,
hxgak2, s2zyn9, 1dkyik,
.
.
(中略)
.
.
fo0pwh, bctzxf, 3yyk12,
oxscjt, iwtsxu, lxmmph,
pbmp3v, 2wbb3i, 9zy7j3,
pdw5qg
Number of Newly Observed File Extensions: 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
.
.
(中略)
.
.
1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
1, 1, 1, 1, 1, 1, 1, 1, 1, 1
::*> date show
(cluster date show)
Node Date Time zone
--------- ------------------------- -------------------------
FsxId01afbfc61d098d8f9-01
3/31/2026 08:58:08 +00:00 Etc/UTC
FsxId01afbfc61d098d8f9-02
3/31/2026 08:58:08 +00:00 Etc/UTC
2 entries were displayed.
::*> security anti-ransomware volume show -instance
Vserver Name: svm
Volume Name: vol1
State: enabled
Dry Run Start Time: -
Attack Probability: none
Attack Timeline: -
Number of Attacks: -
Attack Detected By: -
Block Device Detection Status: -
Block Device Evaluation Start-time: -
::*> security anti-ransomware volume workload-behavior show -vserver svm -volume vol1
Vserver: svm
Volume: vol1
File Extensions Observed: la9w7b, 0yelue, 439s6p,
65rsbk, m53m3f, fuw76q,
hxgak2, s2zyn9, 1dkyik,
yfmxqu, 85cg6u, 7vrfw4,
32ztmo, qq2fdb, qaw72c,
dic56o, 9peppc, hm0j0k,
pwa184, p6gu7d, aw985b,
cugl4z, 52aw2m, jryqle,
lx0vgw, 6mj8l1, k8xukb,
dx84ex, o0frfq, 7550zm,
29m9qr, m9qhl0, ddrljh,
9ckqgg, qxprwy, 2gggor,
kdtysz, eiohez, lajz38,
kfcxu6, 8w6scn, o4vt4q,
qz15wn, qbmj3q, f2yjtp,
ht8bdr, ido41b, 2lum80,
siy7sc, niilhm
Number of File Extensions Observed: 1000
Historical Statistics
High Entropy Data Write Percentage: 100
High Entropy Data Write Peak Rate (KB/Minute): 204812
File Create Peak Rate (per Minute): 50
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Surge Observed
Surge Timeline: -
High Entropy Data Write Percentage: -
High Entropy Data Write Peak Rate (KB/Minute): -
File Create Peak Rate (per Minute): -
File Delete Peak Rate (per Minute): -
File Rename Peak Rate (per Minute): -
Newly Observed File Extensions: la9w7b, 0yelue, 439s6p,
65rsbk, m53m3f, fuw76q,
.
.
(中略)
.
.
oxscjt, iwtsxu, lxmmph,
pbmp3v, 2wbb3i, 9zy7j3,
pdw5qg
Number of Newly Observed File Extensions: 1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
1, 1, 1, 1, 1, 1, 1, 1, 1, 1,
.
.
(中略)
.
.
1, 1, 1, 1, 1, 1, 1, 1, 1, 1
moderateにはなっていないですが、拡張子は検出してくれました。また、EMSイベントは発火されませんでした。
実際はかなりの量のファイル数で書き換えが発生されないと検出されなさそうですね。
ランサムウェア対策の最後の砦として
FSxNでARP/AIを触ってみました。
ランサムウェア対策の最後の砦として非常に有用だと思います。実際に攻撃を防ぐ訳ではないため、レジリエンシーを高める目的で使用することになります。
基本的には有効化する形でも良いかと思いますが、パフォーマンスの影響もあります。十分考慮した上で有効化しましょう。
ARP のパフォーマンスオーバーヘッドは、ほとんどのワークロードで最小限です。ボリュームに読み込み負荷の高いワークロードがある場合、NetApp はファイルシステムあたり 150 個以下のボリュームを保護することを推奨しています。この数を超えると、そのワークロードの IOPS が最大 4% 低下する可能性があります。ボリュームに書き込み負荷の高いワークロードがある場合、NetApp はファイルシステムあたり 60 個以下のボリュームを保護することを推奨しています。そうでない場合は、そのワークロードの IOPS が最大 10% 低下する可能性があります。
以下AWS公式ドキュメントも合わせてご覧ください。以前よりかなりARPについての内容が充実しています。
この記事が誰かの助けになれば幸いです。
以上、クラウド事業本部 コンサルティング部の のんピ(@non____97)でした!
